Privacidad de los datos en Indonesia
Proteja los datos
Obtener la confianza de los clientes es la base de nuestro negocio en AWS y sabemos que usted confía en nosotros para proteger sus activos más críticos y sensibles: los datos. Nos ganamos esta confianza al trabajar de cerca con usted para comprender sus necesidades de protección de datos, y al ofrecer el conjunto más completo de servicios, herramientas y experiencia para facilitar la protección de los datos. Para ello, proporcionamos las medidas técnicas, operativas y contractuales que se necesitan para proteger los datos. Al utilizar AWS, usted administra los controles de privacidad de los datos, así como controla cómo se utilizan los datos, quién tiene acceso a estos y cómo se cifran. Respaldamos estas capacidades con el entorno informático en la nube más flexible y seguro que existe en la actualidad.
Nuestros compromisos con usted
Control de datos
Con AWS, usted controla los datos mediante el uso de potentes servicios y herramientas de AWS para determinar dónde se almacenan los datos, cómo se protegen y quién tiene acceso a estos. Servicios como AWS Identity and Access Management (IAM) permiten administrar de forma segura el acceso a los servicios y recursos de AWS. AWS CloudTrail y Amazon Macie habilitan la gobernanza, la conformidad, la detección y la auditoría, mientras que AWS CloudHSM y AWS Key Management Service (KMS) permiten generar y administrar las claves de cifrado de forma segura.
Privacidad de datos
Soberanía de los datos
Puede optar por almacenar los datos de los clientes en una o varias de nuestras regiones de AWS en todo el mundo. También puede usar los servicios de AWS con la tranquilidad de que los datos de sus clientes permanecerán en la región de AWS que seleccione. Sólo un pequeño número de servicios de AWS implican la transferencia de datos, por ejemplo, para desarrollar y mejorar esos servicios. En estos casos, puede optar por no participar en la transferencia. También es posible que la transferencia constituya una parte esencial del servicio (por ejemplo, un servicio de entrega de contenido). Prohibimos el acceso remoto por parte del personal de AWS a los datos de clientes, independientemente del propósito. Asimismo, nuestros sistemas están diseñados para evitarlo, incluso para el mantenimiento del servicio, a menos que el acceso lo solicite usted o se requiera para evitar el fraude y el abuso, o para cumplir con la ley. Si recibimos solicitudes por parte de las autoridades policiales, impugnaremos las solicitudes realizadas por los organismos gubernamentales para obtener datos de los clientes cuando las solicitudes sean contrarias a la ley, sean demasiado amplias o cuando tengamos fundamentos adecuados para ello. También proporcionamos un informe semestral acerca de las solicitudes de información en el que se describen los tipos y el número de solicitudes de información que AWS recibe de las autoridades policiales.
Seguridad
En AWS, la seguridad es nuestra máxima prioridad y la seguridad en la nube es una responsabilidad compartida entre AWS y nuestro cliente. Entre los clientes que nos confían parte de su información más delicada se encuentran proveedores de servicios financieros, sanidad y organismos gubernamentales. Puede mejorar su capacidad para cumplir con los requisitos fundamentales de seguridad, confidencialidad y conformidad con nuestros servicios integrales, ya sea a través de Amazon GuardDuty o de AWS Nitro System, la plataforma subyacente para nuestras instancias EC2. Además, servicios como AWS CloudHSM y AWS Key Management Service, permiten generar y administrar de forma segura las claves de cifrado, a la vez que AWS Config y AWS CloudTrail ofrecen capacidades de monitoreo y registro para la conformidad y las auditorías.
Información general
Indonesia promulgó su ley de protección de datos personales (Ley de la República de Indonesia, número 27, año 2022) (Ley PDP) el 17 de octubre de 2022. La ley PDP se aplica a (i) personas que residen en Indonesia y (ii) fuera de Indonesia si sus acciones tienen consecuencias legales en Indonesia o sujetos de datos de Indonesia en el extranjero.
La ley PDP distingue entre controladores de datos y procesadores de datos, y aplica obligaciones de gestión de datos diferentes a cada uno. Un controlador de datos es una persona que determina los objetivos y ejerce el control del procesamiento de datos personales. Un procesador de datos es aquella persona que procesa datos según las instrucciones de un controlador de datos. A un alto nivel, algunas de las obligaciones fundamentales de los controladores de datos son las siguientes:
- Procesar los datos personales de acuerdo con las bases legales especificadas para el procesamiento, incluidos el consentimiento del sujeto al que se refieren los datos, la necesidad contractual y el interés legítimo
- Implementar medidas de seguridad apropiadas para proteger los datos personales de la divulgación no autorizada
- Dar respuesta a los derechos de los sujetos de los datos, como el derecho al acceso y a la corrección de sus datos personales, así como a solicitudes para la eliminación de sus datos personales
- Transferir datos personales fuera de Indonesia únicamente cuando se hayan cumplido las condiciones para dicha transferencia
En el caso de los procesadores de datos, la ley PDP requiere que sus datos personales se procesen exclusivamente de acuerdo con las instrucciones del controlador de datos. La ley PDP no incluye ningún requisito de ubicación de datos.
Los reglamentos sobre protección de datos existentes, incluida la Ley n.º 11 de 2008 de Información y Transacciones Electrónicas, la Regulación Gubernamental n.º 71 de 2019 de Operación de Transacciones y Sistemas Electrónicos (GR 71, que corrigió la Regulación Gubernamental n.° 82 de 2012 respecto a la Operación de Transacciones y Sistemas Electrónicos) y la Regulación n.º 20 de 2016 del Ministerio de Comunicaciones e Informática sobre Protección de Datos Personales en un Sistema Electrónico (Regulación Ministerial 20), seguirán siendo aplicables siempre y cuando no entren en conflicto con la ley PDP.
AWS vela por la privacidad y la seguridad de los datos de sus clientes. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes del mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de talla mundial que supervisan esta infraestructura crearon y mantuvieron nuestra amplia selección de servicios de seguridad innovadores, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS, independientemente de su tamaño o ubicación, hereda todos los beneficios de nuestra experiencia, probados por los más estrictos marcos de garantía de terceros.
AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, que incluyen ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.
Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información de identificación personal (PII) procesada por proveedores de servicios de nube públicos. Esto demuestra a los clientes que AWS dispone de un sistema de controles que se ocupa específicamente de proteger la confidencialidad de su contenido.
Estas completas medidas técnicas y organizativas de AWS son coherentes con los objetivos regulatorios normales para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, incluidas la clasificación del contenido, el cifrado, la administración del acceso y las credenciales de seguridad.
Los clientes son responsables de su propio cumplimiento de la ley PDP y las normativas asociadas, dado que AWS no puede ver ni saber lo que estos suben a su red, ni tampoco si dichos datos están sujetos o no a las regulaciones de la ley PDP. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudarlo a alinear sus requisitos con el modelo de responsabilidad compartida de AWSa la hora de procesar datos personales con servicios de AWS.
-
¿Qué función desempeña el cliente en cuanto a la protección de su contenido?
Mediante el modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. Los clientes pueden basarse en los controles y las medidas de seguridad técnicas y organizativas que ofrece AWS para administrar sus propios requisitos de cumplimiento. Los clientes pueden utilizar medidas conocidas para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS como AWS Identity and Access Management.
Al evaluar la seguridad de una solución en la nube, es importante que los clientes entiendan y distingan entre:
- Medidas de seguridad que AWS implementa y opera: "seguridad de la nube", y
- Medidas de seguridad que los clientes implementan y usan, relacionadas con la seguridad del contenido y las aplicaciones de los clientes que utilizan servicios de AWS: "seguridad en la nube"
-
¿Quién puede acceder al contenido de los clientes?
Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y albergan su contenido. AWS no puede ver el contenido del cliente y no lo usa ni accede a él salvo para proporcionar los servicios de AWS que el cliente seleccionó, o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.
Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Pueden:
- Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
- Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
- Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
- Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.
Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus propias necesidades específicas, incluida la clasificación de contenido, el control de acceso, la retención y la eliminación.
-
¿Dónde se almacenará el contenido del cliente?
Los centros de datos de AWS se encuentran repartidos en clústeres en varias ubicaciones de todo el mundo. Cada uno de nuestros clústeres de centros de datos de una ubicación determinada se conoce como “región”.
Los clientes de AWS eligen la región (o regiones) de AWS en la que se almacenará su contenido. Esto permite a los clientes con requisitos geográficos específicos establecer entornos en las ubicaciones de su elección.
Los clientes pueden replicar y realizar copias de seguridad del contenido en más de una Región, pero AWS no mueve el contenido del cliente fuera de la Región o regiones elegidas por el cliente, excepto para proporcionar los servicios solicitados por los clientes o cumplir con la ley aplicable.
-
¿Cómo garantiza AWS la seguridad de sus centros de datos?
La estrategia de seguridad del centro de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger su información. Por ejemplo, AWS maneja cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.
Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas en más de 2.600 estándares y requisitos durante todo el año. Tal examen independiente ayuda a garantizar que los estándares de seguridad se cumplan o superen de manera consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.
Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño realizando un recorrido virtual »
-
¿Qué regiones de AWS puedo usar?
Los clientes pueden usar una región, todas las regiones o una combinación de varias. Visite la página de la infraestructura global de AWS para ver una lista completa de las regiones de AWS.
-
¿Qué medidas de seguridad tiene AWS para proteger los sistemas?
La infraestructura de la nube de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros que están disponibles en la actualidad. La escala de Amazon permite realizar una inversión considerablemente mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales.
AWS también proporciona varios informes de conformidad de auditores externos que han comprobado y verificado que cumplimos con distintos estándares y reglamentos de seguridad, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. A los fines de ofrecer transparencia en relación con la eficacia de estas medidas, proveemos acceso a los informes de auditoría externos en AWS Artifact. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, visite la página sobre nuestros recursos de conformidad.